Luottokunta uskoo NFC-korttien tietoturvaan: "Turvallisuusuhat liioiteltuja"

Luottokunta uskoo NFC-korttien tietoturvaan: Turvallisuusuhat liioiteltuja
Nets eli entinen Luottokunta pitää viime aikoina julkisuudessa olleita lähimaksukorttien tietoturvaongelmia liioiteltuina. Yhtiön mukaan kortin kopioiminen etänä ei ole mahdollista.

Tällä hetkellä NFC-tekniikalla toimivia lähimaksukortteja myöntävät Suomessa esimerkiksi OP Pohjola sekä Nordea. Korttien määrä kasvanee vauhdilla tämän vuoden aikana, kun pankit tarjoavat automaattisesti NFC-korttia uusimisen yhteydessä. Kaikkia bussikortin tapaan vilauttamalla toimivaan maksukorttiin siirtyminen ei kuitenkaan innosta, varsinkaan sen jälkeen, kun on käynyt ilmi, että ainakin osan kortin tiedoista voi kopioida sopivalla laitteella vaikka bussissa vieruskaverin taskusta.

Netsin mukaan turvallisuusuhkia on kuitenkin liioiteltu. Vaikka joku onnistuisi lukemaan kortin tiedot etänä, tietotvarkaalle päätyisi pelkästään luottokortin numero sekä voimassaoloaika, mutta ei kortin kääntöpuolelle painettua tarkistuslukua (CVC/CVV). Ilman tarkistuslukua luottokortin numerokin on hyödytön, sillä esimerkiksi verkkokaupoissa ostosten teko ei onnistu ilman kolminumeroisen koodin syöttämistä.

Lähimaksukortti voi Netsin mukaan jopa parantaa turvallisuutta, kun esimerkiksi baaritiskillä ei tarvitse näpytellä tunnuslukua kortinlukijaan. Lisäksi NFC-maksukorttia koskevat samat säännöt kuin muitakin pankki- ja luottokortteja. Jos kortti varastetaan tai katoaa, kortin sulkemisen jälkeen kuluttaja ei ole vastuussa kortilla tehdyistä väärinkäytöksistä.

Lisäksi ilman sulkemistakin varastetun kortin väärinkäyttöpotentiaali on normaalia luottokorttia ja urkittua PIN-koodia pienempi, kun yksittäisten ostosten yläraja on 25 euroa ja peräkkäisten pelkällä lähiluvulla tehtyjen ostosten lukumäärää on rajoitettu ennen kuin kortti kysyy taas PIN-koodia.

Kirjoittaja: Teemu Laitila @ 17. toukokuuta, 2013 22:13

Tägit
NFC lähimaksaminen Nets
Mainos - kommentit mainoksen jälkeen
  • 19 kommenttia
  • XB700

    Olisi kiva että toi ominaisuus tulisi käyttöön puhelimeillekin. Vaikka Elisa tarjoaa jo jonkilaista ratkaisu. Niin käyttäisin, jos tulisi vaan fiksu ratkaisu siihen ja se tuki kaupoista.

    iMac 12.1, Intel Core i5 @ 2,50GHz, 12,0GB RAM
    HTC One X+
    Samsung Galaxy Tab 8.9 (GT-P7300), Stock samsung rom 4.0. 4 + Voice Call.

    17.5.2013 22:25 #1

  • WereCatf

    "Yhtiön mukaan kortin kopioiminen etänä ei ole mahdollista."

    No ei nuo tietenkään myönnä tietoturvaongelmia, kun ne haluaa vaan saada tuotettaan myytyä. Todellisuus kuitenkin on, että NFC-korttien kopioiminen on paitsi mahdollista, myös helppoa, ja se on todistettu jo kymmeniä kertoja erilaisissa tietoturvakonventioissa.

    "Lähimaksukortti voi Netsin mukaan jopa parantaa turvallisuutta, kun esimerkiksi baaritiskillä ei tarvitse näpytellä tunnuslukua kortinlukijaan."

    Jos kortinlukijaan ei tarvitse näpytellä mitään lukuja vaan se voi lukea kaiken tarvittavan etänä, niin ihan yhtä hyvin voi hyökkääjäkin tehdä saman.

    18.5.2013 06:06 #2

  • Lumikki

    Tietoturva asiat ei ole missään vaiheessa kiinnostaneet näitä maksujärjestelmien suunnittelijoita. Siellä on aivan peruslaatua olevia töpäyksiä. Joten en yhtään ihmettele että NFC-korteissa olisi tietoturva reikiä. Onhan ihan tavallisessa verkon kautta tapahtuvassa pankkikorttimaksussa tietoturva ongelmia. Siis kuka näitä suunnittelee ei ymmärrä tietoturvan päälle yhtään mitään.

    18.5.2013 07:15 #3

  • G0lden_Kebab

    Eikä (CVC/CVV) ole yleensä kuin 3 numeroa = 999 mahdollista yhdistelmää, äkkiäkös sen on jo käynyt läpi.

    En tod. jättäis kaikkea sen varmistuskoodin varaan niinkuin tuolla sanotaan.

    Noh..en tiedä, kun en ole näihin kerennyt perehtymään vielä.

    Kertokaas joku, että jos nfc tekniikka toimii siten, että korttia pidetään vaan lähellä lukijaa joka sitten lukee kortin niin miksi se olisi sen parempi kuin vain yksinkertainen luku siten että tunget kortin koneeseen (fyysinen kontakti vaaditaan), muuten "samalla" lailla kuin nfc? ja ihan yhtä nopeaa. Missasinko nyt jotai oleellista tässä?.

    Sen käsitän että kännykkää ei voi helpolla tunkea kortinlukijaan..., mutta mihin tätä ominaisuutta sitten tarvitaan tavallisessa kortissa yhtään, kun sen voisi vain lukea fyysisesti aina. (kortti sisään - kortti ulos) ihan yhtä nopeasti (~sekunti).

    - Asus Maximus IV Extreme - Core i7-2600k @ ~4.5G - Asus GTX 680 2xSLI
    - 16GB G.Skill RipjawsX - Kingston HyperX SSD 120GB - Corsair AX 850
    - Corsair Obsidian 800D - All Water cooled + Läppäri: Lenovo ThinkPad T500

    18.5.2013 08:33 #4

  • Agent_007

    Lainaus:mutta mihin tätä ominaisuutta sitten tarvitaan tavallisessa kortissa yhtään, kun sen voisi vain lukea fyysisesti aina. (kortti sisään - kortti ulos) ihan yhtä nopeasti (~sekunti)
    Ongelma on tietyissä paikoissa se, että tuon fyysisen kontaktin tekeminen on hitaampaa (esim. julkisessa liikenteessä NFC-matkustajat voivat vain kävellä päätteen ohi, kun tavallisen maksukortin käyttäjän on pakko käytännössä pysähtyä). Tietyissä paikoissa nuo fyysiset lukijat tuppaavat lisäksi likaantumaan ja sen seurauksena vikaantumaan, kun taas NFC-päätteen suojaaminen on tältä osin helpompaa.

    18.5.2013 10:07 #5

  • xbkrypt0n

    Onkohan sitä 2010 haavoittuvuutta vielä edes korjattu?

    http://en.wikipedia.org/wiki/EMV#2010:_..._on_stolen_card

    Lainaus:tietotvarkaalle päätyisi pelkästään luottokortin numero

    18.5.2013 10:32 #6

  • yussef

    Lainaus:Netsin mukaan turvallisuusuhkia on kuitenkin liioiteltu. Vaikka joku onnistuisi lukemaan kortin tiedot etänä, tietotvarkaalle päätyisi pelkästään luottokortin numero sekä voimassaoloaika, mutta ei kortin kääntöpuolelle painettua tarkistuslukua (CVC/CVV). Ilman tarkistuslukua luottokortin numerokin on hyödytön, sillä esimerkiksi verkkokaupoissa ostosten teko ei onnistu ilman kolminumeroisen koodin syöttämistä. Entäs sitten bussissa tai kivijalkakaupoissa?
    Jos tästä etäluvusta on jotain hyötyä, ei tunnuslukua tarvitse pysähtyä naputtelemaan -> kortilla voi maksaa kassalla ilman tunnuslukua tai CVC/CVV -tarkistuslukua. Jos taas kassalla joutuu tunnusluvun joka tapauksessa naputtelemaan, en näe nfc:stä merkittävää hyötyä. Tietysti puhelimen käyttö korttina houkuttaisi, mutta sekään ei oikein vielä onnistu.

    18.5.2013 11:16 #7

  • Bodomed

    Tarkottaisko tää sitä että sitten vois maksaa tuolla NFC ominaisuudella varustetulla kortilla myös dösämatkoja?


    18.5.2013 12:54 #8

  • Sakke88

    @Aivan kuten nykyisillä matkakorteilla. Maailmalla ja suomessakin jo hyvin yleisesti käytössä oleva RFID 13.56 ja NFC toimivat samalla taajuudella ja ovat yleisesti yhteensopivia.

    Jos sattuu omistamaan nfc:llä varutetun puhelimen, niin matkakortin tietoja voi yrittää lukea. Suojauksista johtuen sieltä ei kuitenkaan kovin paljoaa tietoa saa.

    18.5.2013 13:36 #9

  • epoksi

    Lainaus, alkuperäisen viestin kirjoitti G0lden_Kebab: Eikä (CVC/CVV) ole yleensä kuin 3 numeroa = 999 mahdollista yhdistelmää, äkkiäkös sen on jo käynyt läpi. No nyt on kyllä jollain jäänyt matikan tunnit käymättä :D

    18.5.2013 14:03 #10

  • bfr

    Lainaus, alkuperäisen viestin kirjoitti epoksi: Lainaus, alkuperäisen viestin kirjoitti G0lden_Kebab: Eikä (CVC/CVV) ole yleensä kuin 3 numeroa = 999 mahdollista yhdistelmää, äkkiäkös sen on jo käynyt läpi. No nyt on kyllä jollain jäänyt matikan tunnit käymättä :D Tarkentaisitko? En minäkään tuosta saa kuin 1000 eri yhdistelmää, viittaatko 000:n unohtumiseen vai jäikö itseltäsi mahdollisesti matikan tunnit käymättä?

    18.5.2013 14:58 #11

  • epoksi

    Siis mitä tarkennettavaa tuossa enää on? Itsekin tuossa totesit, että yhdistelmiä on 1000. Vai jäikö sinulta mahdollisesti äidinkielen tunnit käymättä?

    18.5.2013 15:09 #12

  • G0lden_Kebab

    Lainaus, alkuperäisen viestin kirjoitti epoksi: Siis mitä tarkennettavaa tuossa enää on? Itsekin tuossa totesit, että yhdistelmiä on 1000. Vai jäikö sinulta mahdollisesti äidinkielen tunnit käymättä? Pätemisen tarve on suuri? =)

    Onhan se kyllä kännyköissä kätevää, kun saa vilauttaa vain puhelinta kassalla tai missä ikinä onkaan pääte. Sen kyllä olen huomannut, että tunnusluvun "urkkiminen" on todella naurettavan helppoa varsinkin vanhemmilta ihmisiltä, kun näppäilevät koodia suorastaan "avoimesti" koneeseen (hyvä etteivät äänen sitä tavaa).

    - Asus Maximus IV Extreme - Core i7-2600k @ ~4.5G - Asus GTX 680 2xSLI
    - 16GB G.Skill RipjawsX - Kingston HyperX SSD 120GB - Corsair AX 850
    - Corsair Obsidian 800D - All Water cooled + Läppäri: Lenovo ThinkPad T500

    18.5.2013 17:06 #13

  • epoksi

    Missäs kohtaa minä olen pätemistä harrastanut? Virheistäkö ei saa huomauttaa?

    18.5.2013 18:58 #14

  • XB700

    NFC TagInfo - Löytyy Google Plays:ta

    Luin oman YTV matka kortin.
    Jotain tietoa sieltä löytyy, mutta en hirveenä jaksannut keskittyä tällä hetkellä tulkitsemaan sitä =D .

    iMac 12.1, Intel Core i5 @ 2,50GHz, 12,0GB RAM
    HTC One X+
    Samsung Galaxy Tab 8.9 (GT-P7300), Stock samsung rom 4.0. 4 + Voice Call.

    18.5.2013 20:05 #15

  • WereCatf

    http://www.bbc.co.uk/news/business-22545804

    Hmmmmm.

    18.5.2013 21:16 #16

  • Sove92

    Ja koko turvakoodivaatimushan on täysin riippuvainen nettikaupasta.

    19.5.2013 00:15 #17

  • Lumikki

    Rahastaminen on se tärkeitä. Ei sen ole väliä rahastetaanko moneen kertaan tai että joku muu käyttää tietoturvareikiä varastaakseen toisen rahaa. Saahan se kauppa aina sitä rahaa. Asiakkaan oma vika se on jos joku asia menee pieleen. Ei ne jotka suunnittelee vuotavia ja viallisia järjestelmiä ole mistään vastuussa.

    Asiakas on tyytyväinen kun se saa uuden kivan "vuotavan" leikkikalun. Se kun on uutta, "trendikästä" ja kivaa, ei se voi olla huono. Typerä ja vanhanaikainen on se ihminen joka vaatii turvallisia, yksityisyyttä kunnioitavia ja toimivia järjestelmiä.

    19.5.2013 10:45 #18

  • wipe2000

    Puhelimissa kai yleensä NFC on aktiivinen vain jos puhelimen näyttö on päällä, mikä estänee ainakin taskusta tehdyt kortinluvut älypuhelimen sisäiseltä NFC:ltä.

    20.5.2013 09:02 #19

© 2014 AfterDawn Oy